image

Microsoft maakt weer "per ongeluk" vergeten lek bekend, dit keer in Defender

zondag 16 april 2023, 15:34 door Redactie, 9 reacties

Microsoft heeft opnieuw het bestaan van een "per ongeluk" vergeten kwetsbaarheid bekendgemaakt. Het gaat om een beveiligingslek in de antivirussoftware Defender, aangeduid als (CVE-2023-24934). Via het beveiligingslek kan een aanvaller door middel van een speciaal geprepareerd bestand detectie door de Defender-virusscanner voorkomen.

Microsoft had tijdens de patchdinsdag van april beveiligingsupdates voor het probleem uitgebracht, maar het bestaan van de kwetsbaarheid niet bekendgemaakt. Dat is nu alsnog gedaan. Microsoft maakte tijdens de patchronde van april verschillende beveiligingslekken bekend die het eerder al had gepatcht. Het gaat om kwetsbaarheden in Microsoft SQL Server, Windows Graphics Component en Windows Remote Procedure Call Service.

Vanwege de "per ongeluk" vergeten update voor SQL Server kreeg Microsoft nog felle kritiek van securitybedrijf ZDI, dat het techbedrijf betichtte van het "stilletjes patchen" van kwetsbaarheden.

Reacties (9)
16-04-2023, 16:02 door Anoniem
nou ga lekker zo nou Google nog is het helemaal kompleet zak je broek toch van af voor zulke fouten slechte zaak microsoft
16-04-2023, 21:58 door Anoniem
Dat zijn dus al vier "vergeten" meldingen. Ik kan het niet helpen dat ik me bij zoiets afvraag of ze hun eigen software wel gebruiken en goed gebruiken.

Microsoft is een bedrijf dat workflow management tools levert aan bedrijven. Als ze in beginsel wel publiceren en daar alleen van afwijken als er een zwaarwegende reden voor is dan stel ik me voor dat ze een workflow hebben ingericht waarin de identificatie en omschrijving van een patch volautomatisch in de gepubliceerde documentatie van een patchdinsdag belanden, tenzij iemand expliciet aanvraagt dat dat onderdrukt wordt, met opgave van die zwaarwegende reden, en iemand met de bevoegdheid daartoe het onderdrukken goedkeurt.

Zoals Microsoft zelf zegt over Workflow Automation and Management: get work done faster; improve accuracy; make people happier; track your work; simplify reporting.

Dus: Passen ze hun eigen tools om processen betrouwbaarder te maken niet zelf toe? Of doen ze het maar halfslachtig? Geloven ze zelf niet in wat ze aan hun klanten verkopen? Of gebruiken ze het allemaal wel goed en jokken ze dat ze het "vergeten" zijn? Als je een goede reden hebt om de bekendmaking uit te stellen tot een tijdje na de patch, waarom zou je die reden verzwijgen op het moment dat je het bekendmaakt? Dat soort vragen roept dit bij me op.
17-04-2023, 05:44 door Anoniem
Als bepaalde "diensten" het gebruikt hebben dan patch je het liever stilletjes. Anders wordt er na detectie al snel richting de USofA gewezen.... Natuurlijk kan iedereen ter wereld dezelfde vulnerability vinden maar de kans dat dat op hetzelfde moment gebeurd is klein indien het enigzins complex is.
17-04-2023, 08:12 door Bitje-scheef
Klant: Is dit een bekend probleem?
Fabrikant: Nee er is geen probleem bekend.
Constatering: 2 maanden later, het probleem is weg na een update.
Klant: Hadden jullie toch een probleem?
Fabrikant: Ja dat was al 6 maanden geleden bekend.
Klant: WTF...

Niet alleen een probleem van Microsoft vrees ik, ook hardware fabrikanten kunnen er wat van.
Ben tegenwoordig al blij dat er niets fout gaat na de update.(beetje overdreven natuurlijk).
17-04-2023, 09:05 door _R0N_
Ach wel een update maar niet aangekondigd, minder erg dan andersom.
17-04-2023, 09:21 door Anoniem
Door _R0N_: Ach wel een update maar niet aangekondigd, minder erg dan andersom.
Acht de laatste 15 jaar zijn er regelmatig cve meldingen geweest wwarbij microsoft claim om NIETS te doen was dat er teveel dingen achter elkaar mismoesten zijn voor iets exploiteerbaar is... Blijkbaar kan nu ook makkelijker aan die voorwaarden voldaan worden.
Dus ik verwacht nog wel 10 tallen van dit soort meldingen.
17-04-2023, 10:07 door _R0N_
Door Anoniem:
Door _R0N_: Ach wel een update maar niet aangekondigd, minder erg dan andersom.
Acht de laatste 15 jaar zijn er regelmatig cve meldingen geweest wwarbij microsoft claim om NIETS te doen was dat er teveel dingen achter elkaar mismoesten zijn voor iets exploiteerbaar is... Blijkbaar kan nu ook makkelijker aan die voorwaarden voldaan worden.
Dus ik verwacht nog wel 10 tallen van dit soort meldingen.

Niet alleen Microsoft, ook Google en Apple en verschillende Open Source bouwers hebben regelmatig lekken verzwegen. Ik kan me daar nog iets bij voorstellen, als je het bekend maakt vergroot je de kans op misbruik.

In dit geval hebben ze iets gepatched zonder te vertellen dat ze iets patchen daar heb ik persoonlijk minder moeite mee dan actief misbruikte lekken stil houden.
17-04-2023, 14:44 door Anoniem
Door _R0N_:
Door Anoniem:
Door _R0N_: Ach wel een update maar niet aangekondigd, minder erg dan andersom.
Acht de laatste 15 jaar zijn er regelmatig cve meldingen geweest wwarbij microsoft claim om NIETS te doen was dat er teveel dingen achter elkaar mismoesten zijn voor iets exploiteerbaar is... Blijkbaar kan nu ook makkelijker aan die voorwaarden voldaan worden.
Dus ik verwacht nog wel 10 tallen van dit soort meldingen.

Niet alleen Microsoft, ook Google en Apple en verschillende Open Source bouwers hebben regelmatig lekken verzwegen. Ik kan me daar nog iets bij voorstellen, als je het bekend maakt vergroot je de kans op misbruik.

In dit geval hebben ze iets gepatched zonder te vertellen dat ze iets patchen daar heb ik persoonlijk minder moeite mee dan actief misbruikte lekken stil houden.
Vertel eens welke open source bouwers ? Volgens mij jok je want open source bouwen gebeurd in alle openheid en de commits zijn van commentaar voorzien. Er is geen enkele reden om niets over de patch te vertellen. Integendeel. Open source != closed source
18-04-2023, 12:16 door Anoniem
Is niet per ongeluk. Microsoft wil geen vuile was buiten. Schamen ze zich voor.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.